PIM (Privileged Identity Management) による特権アクセスの保護

PIM (Privileged Identity Management) による特権アクセスの保護

2024 年 4 月 15 日

この技術的および教育的な記事は、セキュリティ アナリスト、IT 管理者、およびシステム エンジニアが Microsoft Entra ID (旧称 Azure Active Directory) で Privileged Identity Management (PIM) を実装および管理できるようにガイドすることを目的としています。 PIM は、組織内の重要なリソースへのアクセスを管理、制御、監視できるようにするサービスで、特権機能への Just-In-Time (JIT) および Just-Enough Access (JEA) アクセスを提供し、特権の悪用のリスクを最小限に抑えます [1]。

はじめに

管理者権限を持つアカウントは、侵害されると組織のシステムとデータが完全に制御される可能性があるため、サイバー攻撃の主な標的となります。特権アカウントが永続的に割り当てられる従来のセキュリティ モデルでは、攻撃対象領域が増大し、攻撃者による水平移動のリスクが増大します。 PIM は、「ジャストインタイム」(JIT) および「ジャスト十分アクセス」(JEA) アクセスの概念を導入することでこの課題に対処し、必要な場合にのみ、厳密に必要な時間だけユーザーが昇格された特権を確実に持つようにします [2]。

この実用的なガイドでは、サービスのアクティブ化からロールの資格の割り当て、アクティブ化ポリシーの構成、特権ロールのアクティブ化プロセスまで、Microsoft Entra ID での PIM 構成について説明します。読者が Microsoft 環境で特権アクセス セキュリティを実装および強化し、リスクにさらされるリスクを軽減し、コンプライアンスを確保できるように、段階的な手順、実践例、および検証方法が提供されます。

Privileged Identity Management が重要なのはなぜですか?

  • 攻撃対象領域の削減: 特権アカウントがアクティブなままである時間を最小限に抑え、攻撃者の機会を減らします。
  • JIT/JEA アクセス: ゼロ トラストの原則に従って、最小限の権限で一時的なアクセスを許可します。
  • 可視性と監査: すべての特権機能のアクティブ化の詳細なログを提供し、監査とコンプライアンスを容易にします。
  • 承認フロー: 重要な機能のアクティブ化に承認を要求できるようにし、セキュリティ層を追加します。
  • アクセス レビュー: 定期的なアクセス レビューを促進し、付与された権限が引き続き適切であることを確認します。

前提条件

Privileged Identity Management (PIM) を実装するには、次のものが必要です。

  1. ライセンス: Microsoft Enroll ID Premium P2 (旧称 Azure AD Premium P2) ライセンス。 PIM は、このライセンスの独自の機能です [3]。
  2. 管理アクセス: Microsoft の「グローバル管理者」または「特権ロール管理者」のロールを持つアカウント ID を入力して PIM を設定します。
  3. ユーザーとグループ: 特権アクセスを必要とする Microsoft Entra ID 上のユーザーおよび/またはセキュリティ グループ。

ステップバイステップ: PIM の構成と使用

「グローバル管理者」などの重要な管理役割用に PIM を構成し、アクティベーション プロセスを示します。

1. Microsoft Entra ID での PIM のアクティブ化

PIM がテナントでまだアクティブになっていない場合は、アクティブにする必要があります。

  1. Microsoft Entra 管理センター ポータル:「https://entra.microsoft.com」にアクセスします。
  2. 左側のナビゲーション ペインで、アイデンティティ ガバナンス > Privileged Identity Management を選択します。
  3. 初めての場合は、PIM を有効にする オプションが表示されます。それをクリックしてください。

2. 役割に対する資格の割り当て

まず、ユーザーに「グローバル管理者」ロールの資格を与えましょう。

  1. PIM の左側のナビゲーション ウィンドウで、Microsoft Entra ロール > ロール を選択します。
  2. 役割のリストで「グローバル管理者」を探してクリックします。

  3. 「グローバル管理者」役割の詳細ページで、役割の追加 をクリックします。

  4. [割り当ての追加] セクションで、[メンバーの選択] をクリックします。

  5. このロールの資格を付与するユーザーまたはグループを検索して選択します。 [選択] をクリックします。
  6. 割り当てタイプで、「適格」を選択します。
  7. 永続的な割り当てで、資格の開始日と終了日を設定したり、それを永続的にしたりできます。高い特権を持つ役割の場合、恒久的な割り当ては避けるべきですが、デモンストレーションの目的では、そのままにしておきます。
  8. [割り当て] をクリックします。

3. 役割設定の構成

ロール定義は、ユーザーが自分の権限をアクティブ化する方法を制御します。

  1. PIM の左側のナビゲーション ウィンドウで、Microsoft Entra Functions > 設定 を選択します。

  2. 役割のリストで「グローバル管理者」を検索し、編集 をクリックします。

  3. アクティベーション セクションで:

    • 最大アクティベーション期間: ユーザーが機能をアクティブにできる最大時間を定義します (例: 「4」 時間)。短期間をお勧めします。
    • アクティベーション時に多要素認証が必要: このオプションをオンにします。 すべての特権ロールに対して強く推奨
    • アクティベーション時に正当な理由が必要: このオプションを選択します。ユーザーはアクティベーションの理由を入力する必要があります。
    • アクティブ化するには承認が必要: 承認フローを追加するには、このオプションをオンにします。 [承認者の選択] をクリックし、アクティベーション リクエストを承認できる 1 人以上のユーザー/グループを追加します。
  4. 割り当てセクションで:
    • 永続的な適格な割り当てを許可する: 「グローバル管理者」の場合は、このオプションを無効にして、すべての割り当てを強制的に一時的なものにすることを検討してください。
  5. [通知] セクションで次のようにします。 ※機能の有効化を誰に通知するかを設定します。
  6. [更新] をクリックして設定を保存します。

4. 特権機能の有効化 (ユーザーエクスペリエンス)

次に、適格なユーザーが「グローバル管理者」ロールをアクティブ化する方法を説明します。

  1. 資格のあるユーザーは、Microsoft Entra 管理センター ポータル (https://entra.microsoft.com) にアクセスします。
  2. アイデンティティ ガバナンス > 特権アイデンティティ管理 に移動します。
  3. 左側のナビゲーション ウィンドウで、私の役割 > Microsoft ログイン ロール を選択します。
  4. [適格な役割] タブに、「グローバル管理者」役割が表示されます。

  5. 「グローバル管理者」ロールの横にある [有効にする] をクリックします。

  6. アクティベーションウィンドウで次の操作を行います。

    • 期間: ユーザーはアクティブ化期間を指定できます (関数定義で定義された最大期間によって制限されます)。
    • 理由: ユーザーはアクティベーションの正当な理由を提供する必要があります (例: 「サーバー X でメンテナンスを実行する」)。
    • (構成されている場合) セキュリティ チェック: ユーザーは、MFA チェックを実行するように求められる場合があります。

  7. [アクティブ化] をクリックします。

  8. 承認が必要な場合、承認者にリクエストが送信されます。ユーザーにはステータスが「承認待ち」として表示されます。

5. アクティベーションリクエストの承認 (承認者のエクスペリエンス)

指定された承認者は、アクティベーション要求に関する通知を (電子メールまたは PIM ポータルで) 受け取ります。

  1. 承認者は、Microsoft Entra 管理センター ポータル (https://entra.microsoft.com) にアクセスします。
  2. アイデンティティ ガバナンス > 特権アイデンティティ管理 に移動します。
  3. 左側のナビゲーション ウィンドウで、リクエストの承認 を選択します。
  4. 承認者には保留中のリクエストが表示されます。クリックすると詳細が表示されます。

  5. 承認者は、正当な理由を示して、リクエストを承認または拒否できます。

  6. 承認後、要求したユーザーは指定された期間アクティブな役割を持ちます。

検証とテスト

PIM 実装を検証することは、特権アクセス制御が期待どおりに機能していることを確認するために重要です。

1. アクティベーションステータスの確認

  1. アクティブ化 (および該当する場合は承認) 後、ユーザーは PIM の [マイ ロール] > [Microsoft ログイン ロール] ページに戻ることができます。
  2. [アクティブな役割] タブに、「グローバル管理者」役割がステータス「アクティブ」と残り時間とともに表示されます。

2. 昇格された特権アクセスのテスト

  1. この機能を有効にすると、ユーザーはリソースにアクセスするか、「グローバル管理者」の役割を必要とするアクションを実行する必要があります (例: Microsoft Entra ID で新しいユーザーを作成する)。
  2. アクションは成功する必要があります。

3. PIM 監査ログの確認

  1. PIM の左側のナビゲーション ウィンドウで、監査 > Microsoft Entra ロール監査 を選択します。
  2. ログをフィルタリングして、役割のアクティブ化、承認、およびその他の PIM 関連のアクティビティを表示します。これにより、誰がどの機能をいつ、どのくらいの期間、どのような正当な理由でアクティブ化したかの完全な記録が得られます。

4. アクティベーションの有効期限のテスト

アクティベーション時間が経過すると、ユーザーは失われる必要があります自動的に昇格された権限。特権アクションを再度実行してみてください。彼女は失敗するに違いない。

セキュリティのヒントとベスト プラクティス

  • 最小特権の原則: ユーザーがタスクを実行するために必要な役割のみを割り当てます。権限の低いロールで十分な場合は、「グローバル管理者」を割り当てることは避けてください。
  • 資格の割り当てとアクティブな割り当て: 可能な限り、特権ロールには永続的な「アクティブ」割り当てではなく「資格」を使用してください。
  • MFA 必須: 特権機能をアクティブ化するには常に MFA が必要です。これにより、重要なセキュリティ層が追加されます。
  • 必須の理由: ユーザーは、各アクティベーションの正当な理由を提供する必要があります。これは、アクセスの目的を監査し、理解するのに役立ちます。
  • 承認フロー: 重要な機能については、承認フローを構成して、アクティベーションが他の人によってレビューおよび承認されるようにします。
  • アクセス レビュー: PIM で定期的なアクセス レビューをスケジュールして、特権ロールの資格が引き続き適切であることを確認し、不要な割り当てを削除します。
  • 通知: 特権ロールがアクティブ化されたとき、または不審なアクティビティが発生したときの管理者への通知を構成します。
  • 条件付きアクセスとの統合: 条件付きアクセスを使用して、PIM 機能をアクティブ化するときに追加のポリシーを適用します (サポートされているデバイスまたは信頼できるネットワークの場所からアクティブ化を行う必要があるなど)。

一般的なトラブルシューティング

  • ユーザーは機能をアクティブ化できません: ユーザーが Microsoft Entra ID Premium P2 ライセンスを持っているかどうかを確認してください。彼がその役割に適任者のリストに載っているかどうかを確認してください。ロール設定を確認します (MFA が必要かどうか、ユーザーがそれを構成していないかなど)。
  • 機能のアクティブ化に失敗しました: PIM 監査ログでエラー メッセージを確認してください。 MFA の失敗、正当な理由の欠如、または承認者による拒否が原因である可能性があります。
  • 承認者は通知を受け取りません: ロール設定の通知設定を確認してください。承認者の電子メール アドレスが正しいこと、および通知をブロックする受信トレイ ルールがないことを確認してください。
  • 機能は自動的に無効になりません: 機能設定で最大有効期間を確認してください。問題が解決しない場合は、サービスの同期の遅延が原因である可能性があります。
  • 権限の競合: ユーザーが PIM ロールと通常のロールを通じて同じ権限を持っている場合、通常のロールが優先されます。 PIM 経由でも資格があるユーザーに対する永続的な特権ロールの割り当てを削除することをお勧めします。

結論

Microsoft Entra Privileged Identity Management (PIM) は、特権アクセスを保護し、セキュリティ体制を強化したいと考えている組織にとって不可欠なツールです。 PIM は、ジャストインタイムおよびジャスト十分なアクセスの原則を採用することにより、攻撃対象領域を大幅に削減し、詳細な監査証跡を提供し、管理機能に厳格な制御を課します。 PIM を慎重に実装し、セキュリティのベスト プラクティスやユーザー トレーニングと組み合わせることで、IT チームとセキュリティ チームが権限を効果的に管理できるようになり、特権アカウントの侵害に伴うリスクが軽減され、より安全でコンプライアンスに準拠した環境が確保されます。

参考文献:

[1] Microsoft Learn。 Microsoft Entra Privileged Identity Management とは何ですか?。入手可能場所: https://learn.microsoft.com/pt-br/entra/id-governança/privileged-identity-management/pim-configure [2] Microsoft Learn。 ゼロトラスト指導原則。入手可能場所: https://learn.microsoft.com/pt-br/security/zero-trust/guidance-principles [3] Microsoft Learn。 Microsoft Entra Privileged Identity Management のライセンス要件。入手可能場所: https://learn.microsoft.com/pt-br/entra/id-governança/privileged-identity-management/pim-configure#license-requirements